Структура Закона о конфиденциальности в 2026 году

Закон о конфиденциальности — основной федеральный закон о защите данных в Австралии, поддерживаемый Австралийскими принципами конфиденциальности (APPs), которые операционализируют его требования. Реформенные транши 2024 и 2025 годов реструктурировали несколько ключевых элементов без переписывания Закона с нуля.

Что изменил первый транш

Первый реформенный транш, вступивший в силу в течение 2024 года, ввёл несколько долгожданных изменений:

• Существенно увеличил максимальные штрафы за серьёзные или повторные вмешательства в частную жизнь, приблизив австралийские штрафы к уровням GDPR
• Новые полномочия OAIC проводить расследования по собственной инициативе и выдавать уведомления о нарушениях
• Кодекс онлайн-конфиденциальности детей, который налагает конкретные обязательства на сервисы, к которым вероятно обращаются дети
• Усиленные требования к уведомлению о нарушении, включая более быстрые сроки уведомления

Что изменил второй транш

Второй реформенный транш, действующий в течение 2025 года и в 2026 году, рассмотрел более архитектурные вопросы:

• Законный деликт серьёзных вторжений в частную жизнь, дающий лицам прямое основание для иска за серьёзные нарушения конфиденциальности
• Расширенные определения личной информации для уточнения обработки онлайн-идентификаторов и выводов
• Усиленные требования к согласию для прямого маркетинга и таргетированной рекламы
• Новые обязательства по прозрачности для автоматизированного принятия решений, включая право на осмысленное объяснение
• Обновлённые правила трансграничного потока данных с реформированными обязательствами разумных шагов

Кто регулируется

Закон о конфиденциальности применяется к большинству правительственных агентств Австралии и к организациям частного сектора с годовым оборотом выше порога (в настоящее время 3 миллиона австралийских долларов). Он также применяется экстерриториально к иностранным организациям, которые ведут бизнес в Австралии и которые собирают или хранят личную информацию в Австралии. Иностранные издатели, обслуживающие австралийских пользователей через локализованные сайты или программатик-инвентарь, купленный против австралийских IP, обычно попадают в сферу действия, и OAIC применял экстерриториальное положение в нескольких недавних делах.

Что считается личной информацией

Определение личной информации в Законе о конфиденциальности было уточнено в процессе реформы, чтобы устранить давнюю неопределённость в отношении онлайн-идентификаторов.

Обновлённое определение

Личная информация — это информация или мнение об идентифицированном лице или лице, которое разумно идентифицируемо, независимо от того, верна ли информация и записана ли она в материальной форме. Реформы 2025 года уточнили, что это включает онлайн-идентификаторы, технические данные и выводы, сделанные из поведенческих данных, когда они могут быть привязаны к лицу прямо или в сочетании с другой информацией.

Чувствительная информация

Закон выделяет категорию чувствительной информации, которая включает информацию о здоровье, расовое или этническое происхождение, политические взгляды, членство в политических ассоциациях, религиозные убеждения, философские убеждения, членство в профессиональных или торговых ассоциациях, членство в профсоюзах, сексуальную ориентацию или практики, судимость, биометрическую информацию и биометрические шаблоны. Обработка чувствительной информации требует явного согласия и активирует повышенные обязательства.

Почему это важно для cookie

Cookie, хранящий рутинный идентификатор, — это личная информация. Cookie, питающий сегмент аудитории, затрагивающий чувствительный список — интересы к здоровью, политическая ориентация, религиозная принадлежность — это обработка чувствительной информации и требует повышенного потока согласия, а не общего рекламного согласия. Издателям, запускающим сегменты аудитории, пересекающиеся с чувствительным списком, следует аудировать свои потоки согласия конкретно против этой границы.

Согласие на cookie согласно реформированному Закону о конфиденциальности

Процесс реформы уточнил требования к согласию для прямого маркетинга и таргетированной рекламы способами, которые приближают Австралию к модели opt-in в стиле GDPR, чем исторический австралийский режим.

Обновлённый стандарт согласия

Согласие согласно реформированному Закону о конфиденциальности должно быть:

• Добровольным — данным без принуждения или чрезмерного давления
• Информированным — лицо понимает, какие данные собираются, зачем и как они будут использоваться и раскрываться
• Актуальным — согласие достаточно свежее, чтобы быть осмысленным для предлагаемой обработки
• Конкретным — привязанным к чётко определённым целям, а не к общему зонтичному согласию
• Однозначным — выраженным через ясное утвердительное действие, а не выведенным из бездействия

Как выглядит соответствующая CMP

CMP, настроенная для австралийского трафика в 2026 году, должна представлять:

• Видимый баннер до срабатывания любого необязательного cookie или трекера
• Равную визуальную заметность для «Принять», «Отклонить» и «Настроить» — OAIC сигнализировал об усиленном внимании к дизайнам баннеров с тёмными паттернами
• Детальные переключатели по каждой цели: аналитика, реклама, персонализация, трансграничная передача и любая обработка чувствительной информации
• Отдельный, чётко помеченный поток для обработки чувствительной информации, ограниченный собственным действием
• Постоянный, легкодоступный механизм отзыва согласия
• Политику конфиденциальности на английском языке с полным раскрытием в соответствии с APP, включая канал жалоб OAIC

Записи о согласии

Реформа увеличила аппетит OAIC к правоприменению на основе доказательств, и записи о согласии упоминались в нескольких недавних делах. Экспортируемые журналы согласия с временными метками — это базовое ожидание, и неадекватные записи о согласии упоминались в официальных определениях.

Трансграничные раскрытия в рамках реформированного режима

Закон о конфиденциальности исторически использовал иной подход к трансграничным потокам данных, чем GDPR — фокус на ответственности раскрывающей организации, а не на предварительной авторизации принимающей юрисдикции. Реформы 2025 года уточнили этот подход, не отказываясь от него.

Обязательство разумных шагов APP 8

Австралийский принцип конфиденциальности 8 требует, чтобы до раскрытия личной информации зарубежному получателю раскрывающая организация предприняла разумные шаги для обеспечения того, чтобы получатель не нарушал APP. Это обычно означает контрактный механизм, проверку должной осмотрительности практик конфиденциальности получателя или опору на существенно схожий правовой режим в стране назначения.

Резерв ответственности

Если зарубежный получатель действительно нарушает APP в связи с раскрытой информацией, австралийская раскрывающая организация рассматривается как участвовавшая в нарушении. Этот резерв ответственности — практический рычаг правоприменения для трансграничных потоков, и именно он делает контрактный механизм не просто упражнением в документировании.

Практический подход 2026 года

Для большинства иностранных издателей в 2026 году рабочий подход — заключать соответствующие APP соглашения о передаче данных с зарубежными обработчиками, документировать передачу в политике конфиденциальности и поддерживать запись о должной осмотрительности поставщиков, демонстрирующую, что обязательство разумных шагов выполнено. Это значительно проще, чем подход предварительной авторизации GDPR, но не менее строг по существу.

Права субъектов данных и автоматизированное принятие решений

Реформированный Закон расширяет права, которые лица могут осуществлять.

Основные права

• Право доступа к личной информации, хранимой организацией
• Право на исправление неточной, устаревшей, неполной, нерелевантной или вводящей в заблуждение информации
• Право отказаться от прямого маркетинга
• Право знать, кому была раскрыта личная информация
• Право на осмысленное объяснение автоматизированных решений, производящих значительные эффекты
• Право пожаловаться в OAIC

Сроки ответа

Закон устанавливает сроки ответа в разумный период, и руководство OAIC интерпретирует разумный как обычно не превышающий 30 дней для запросов доступа. Операционная готовность к этому окну — с инструментарием и регламентами, настроенными на австралийские процессы — является распространённым пробелом для иностранных издателей.

Кодекс онлайн-конфиденциальности детей

Кодекс, вступивший в силу в течение 2024 года, применяется к онлайн-сервисам, к которым вероятно обращаются дети, и налагает конкретные обязательства, включая дизайн с учётом возраста, ограниченное профилирование и таргетированную рекламу, высокие настройки конфиденциальности по умолчанию и требования к вовлечению родителей. Издателям, чьи аудитории включают значительный трафик до 18 лет, нужны потоки с учётом возраста, ограниченная обработка для несовершеннолетнего сегмента и значения по умолчанию в соответствии с Кодексом — ничего из этого не является готовым решением для большинства иностранных издателей.

Штрафы и позиция правоприменения в 2026 году

Правоприменительная активность OAIC существенно возросла в течение 2024 и 2025 годов, и 2026 год идёт по схожей траектории.

Максимальные штрафы

За серьёзные или повторные вмешательства в частную жизнь максимальный штраф — наибольшее из 50 миллионов австралийских долларов, трёхкратной стоимости выгоды, полученной от поведения, или 30 процентов скорректированного оборота организации за соответствующий период. Это решительно вводит австралийские штрафы в диапазон GDPR и устраняет характеристику мягкого режима, которая применялась ранее.

Законный деликт

Законный деликт серьёзных вторжений в частную жизнь 2025 года даёт лицам прямое основание для иска о возмещении ущерба, отдельно от регуляторного правоприменения. Коллективные иски — это формирующийся путь, и несколько были поданы против крупных платформ в конце 2025 и начале 2026 года.

Темы правоприменения

Недавние дела OAIC группируются вокруг повторяющихся проблем: баннеры согласия с тёмными паттернами, неадекватное уведомление о нарушении, трансграничные раскрытия без документированных разумных шагов, обработка чувствительной информации без явного согласия и неспособность ответить на запросы доступа в течение окна разумного периода.

Чек-лист аудита для австралийского трафика в 2026 году

• Баннер CMP с «Принять», «Отклонить» и «Настроить» при равной визуальной заметности
• Цели согласия детальны и отделяют обработку чувствительной информации за явным согласием
• Политика конфиденциальности соответствует APP с полным раскрытием зарубежных получателей, целей, хранения и канала жалоб OAIC
• Соглашения о трансграничном раскрытии APP 8 заключены со всеми зарубежными обработчиками, с документированной должной осмотрительностью поставщиков
• Журналы согласия имеют временные метки, экспортируемы и хранятся на применимый срок хранения
• Рабочий процесс доступа субъектов данных может ответить в течение окна разумного периода от начала до конца
• Обязательства Кодекса онлайн-конфиденциальности детей рассмотрены, где аудитория включает несовершеннолетних, включая дизайн с учётом возраста и ограниченное профилирование
• Объяснения автоматизированного принятия решений доступны, где значительные решения принимаются с использованием таких систем
• Регламент уведомления о нарушении настроен на реформированные сроки
• Список поставщиков пересмотрен на необходимость, неиспользуемые или избыточные поставщики удалены для сокращения поверхности раскрытия

Перспектива 2026 года

Режим конфиденциальности Австралии наконец перешёл от долгого процесса реформ к достоверной позиции правоприменения. Максимальные штрафы теперь в диапазоне GDPR, OAIC имеет полномочия, необходимые для их применения, законный деликт даёт лицам прямое основание для иска, а Кодекс онлайн-конфиденциальности детей повышает планку для любого сервиса, который касается аудиторий до 18 лет. Для издателей, уже использующих консент-стек уровня GDPR, разрыв до соответствия Закону о конфиденциальности операционный, а не архитектурный: политика конфиденциальности в соответствии с APP, документация APP 8, значения по умолчанию Кодекса детей и ритм ответа на запросы доступа. Разрыв может быть закрыт за недели при приоритизации. Издатели, рассматривавшие Австралию как относительно мягкий рынок до 2023 года, обнаруживают, что 2026 год существенно дороже, и тенденция продолжится. Хорошая новость в том, что разрыв до соответствия мал для любого издателя, выполнившего европейскую работу; плохая новость в том, что большинство издателей недооценивают, насколько реформированный австралийский режим ожидает от них.